什么是护网

1.什么是护网行动

护网行动是由公安部牵头组织的网络安全攻防演练活动，旨在评估和提升企事业单位的网络安全防护能力。

具体来说，护网行动通过模拟真实的网络攻击场景，组织攻防双方进行对抗演练，以检测企事业单位网络、系统以及设备的安全漏洞。

进攻方（红队）由网络安全专家组成，负责模拟黑客攻击，而防守方（蓝队）则由企事业单位组成，负责防御和应对攻击。

护网行动的目的是为了提升网络安全意识、加强网络安全基础设施建设、强化网络安全管理和监控，并建立网络安全法规和标准。它通常按照行政级别分为国家级、省级和市级护网行动。国家级护网行动一般在每年的7、8月左右开始，持续2到3周。

护网行动自2016年开始，随着我国对网络安全的重视，参与单位不断扩大，已成为网络安全建设的重要组成部分

2.护网的分类

按行政级别分类

国家级护网：由国家层面组织，覆盖范围最广，涉及的单位和系统最为重要，通常每年在7、8月左右开始，持续时间一般为2到3周。

省级护网：由省级政府或相关部门组织，主要针对省内的重要信息系统和关键基础设施，持续时间一般为2周左右。

市级护网：由市级政府或相关部门组织，主要针对市内的信息系统和基础设施，持续时间一般为1周左右

按行业分类

行业内部护网：对于网络安全要求较高的行业，如金融、教育、医疗等，也会在行业内部组织护网行动，以满足特定行业的安全需求

3.护网的时间

护网行动的时间安排因行政级别和具体年份的不同而有所差异

• 国家级护网：一般来说，国家级护网行动都是每年的7、8月左右开始，持续时间通常是2~3周。然而，也有特殊情况，如2021年由于建党100周年的特殊要求，所有的安全工作都要在7月之前完成，因此当年的护网行动在4月左右就完成了。

• 省级护网：省级护网行动的持续时间相对国家级要短一些，大概在2周左右。

• 市级护网：再低一级的市级护网行动，其持续时间通常为一周左右。

时间并不是固定的，有时会因为特殊情况而有所调整

4.护网的影响

对单位的影响

排名与声誉：护网行动会对参与的单位进行排名，表现不佳的单位在排名中会靠后，这会严重影响单位的声誉

评优评先：在护网中失利的单位，在未来评优评先等工作中会受到不良影响，难以获得荣誉和奖励

领导责任：护网行动与政治挂钩，如果单位的业务系统被攻击者轻易攻陷，可能会导致领导者被免职，甚至撤职。例如，之前一个金融证券单位在护网行动中网络系统被攻破，导致该单位的二号领导直接被免职

业务影响：网络安全问题会直接影响单位的业务运行，如数据泄露、系统瘫痪等，可能导致业务中断、客户流失，进而影响单位的经济效益

对个人的影响

职业发展：网络安全人员在护网行动中的表现会直接影响其职业发展。表现优秀的人员可能会获得晋升机会和更多的职业发展空间

技能提升：参与护网行动可以积累丰富的实战经验，提升个人的网络安全技能和应急响应能力

心理压力：护网行动的高强度和高压力也会给网络安全人员带来一定的心理压力，需要具备良好的心理素质和抗压能力

对行业和社会的影响

提升网络安全意识：护网行动通过实战演练，提高了各企事业单位的网络安全意识，使大家更加重视网络安全防护

推动技术发展：为了应对护网行动中的各种攻击手段，网络安全技术得到了快速发展，新技术、新方法不断涌现

促进法规制定：护网行动的开展也推动了网络安全法规和标准的制定和完善，为网络安全管理提供了法律依据

维护社会稳定：网络安全问题关系到国家安全、公共安全和社会稳定，护网行动通过提升网络安全防护能力，有助于维护社会的稳定和和谐

5.护网的规则

红蓝对抗

红队：为攻击队，主要由国家信息安全队伍、军队、科研机构、测评机构、安全公司等组成，人员一般3-5人一组，每组对一个目标进行攻击。红队的攻击方式不限，但攻击过程受到监控

蓝队：为防守队，由护网单位自行组织安全专家进行针对性防御。蓝队初始积分为10000分，一旦被攻击成功就会扣相应的分

攻击与防守规则

攻击规则：红队可以使用各种攻击手段，但不能使用破坏性的物理入侵。重要业务系统进行攻击操作前需要向指挥部进行请示

防守规则：蓝队需要不限防御方式，监控全网的攻击，及时发现并处置，避免内部系统被攻陷。防守方在攻击方提交报告1小时内发现来自攻击方的行为并上报，将不扣分

评分与考核

防守方评分：根据安全防护能力强弱对防守方进行排名，主要考核参演单位监测发现能力、应急处置能力与公安机关配合能力。目标系统被拿下不参加排名，即护网失败

攻击方评分：红队每攻击成功一个目标并提交证据，经认证成功即可得分

其他规则

禁止行为：不能使用有感染及多进程守护功能的木马

时间安排：攻击靶标由各单位自报或公安部指定，公安部一般提前3周通知各单位参演靶标，以及攻击的起始时间与结束时间

6.什么是红队

红队（Red Team）在网络安全领域中，指的是一个模拟攻击者的团队，其主要任务是通过采用黑客技术及策略来测试和评估目标组织的安全防护能力。

红队的活动旨在发现系统、网络或应用程序中的安全漏洞，并揭示现有防御机制中的弱点，以便组织可以采取措施加以改进

对红队的介绍

• 定义目标：红队的首要任务是明确演练的目标和范围，这通常涉及对关键资产或特定系统的攻击模拟。通过设定具体的“皇冠上的宝石”或关键目标，红队可以针对性地设计攻击策略

• 情报收集：在执行攻击之前，红队会进行广泛的情报收集工作，包括分析目标组织的架构、IT资产、敏感信息泄露情况以及供应商信息等。这一阶段的工作为后续的攻击提供了必要的数据支持

• 建立据点：红队专家会尝试利用漏洞或社会工程学等方法获取系统的初始访问权限，并在系统中建立据点。这些据点可能用于进一步的渗透或作为持久化操作的基础

• 横向移动：一旦在系统中建立了据点，红队将尝试在内部网络中横向移动，扩大对其他系统或数据的访问范围。这通常涉及利用内部网络的弱点，如不及时修复的漏洞或使用相同密码的情况

• 维持访问：为了确保长期访问，红队可能会实施持久化操作，如安装后门或创建隐藏账户。这样可以在不被发现的情况下保持对目标系统的控制

• 评估反馈：红队的行动结束后，会对整个攻击过程进行评估，并提供详细的反馈报告。这些报告对于蓝队改进防御策略至关重要

• 遵守法律：尽管红队的任务是模拟攻击，但他们的所有行动都必须严格遵守法律法规，确保不造成非法的信息危害

7.什么是蓝队

蓝队（Blue Team）在网络安全领域中主要负责防御工作，其核心任务是构建、维护和运营网络安全防御体系，以保护组织的信息资产、网络系统和数字资源免受外部和内部的网络威胁

对蓝队的介绍

• 安全监控：持续监控网络流量、用户行为及系统日志等，以识别任何可疑活动或潜在威胁

• 威胁情报分析：收集并分析来自内部和外部的威胁情报，了解最新的攻击趋势和技术，以便提前做好准备

• 事件响应：制定并执行应急响应计划，在发生安全事件时迅速采取行动，限制损害范围，并尽快恢复正常运营

• 漏洞管理：定期进行漏洞扫描和评估，及时修补发现的安全漏洞，减少被攻击的风险

• 安全意识培训：提高员工对网络安全的认识，教育他们如何避免常见的安全陷阱，如钓鱼攻击和社会工程学攻击

• 防御策略优化：根据最新的安全挑战不断调整和完善防御措施，采用先进的技术手段增强防护能力